MEV бот, заработавший вчера 800 ETH в 1 сделке, потерял 1100 ETH из-за невнимательности

https://twitter.com/bertcmiller/status/1574852628030361609

Берт Миллер из Flashbots написал твиттер-тред:

«Вот MEV бот 0xbadc0defafcf6d4239bdf0b66da4d7bd36fcf05a, который проводил более 220К транзакций в эфирной сети, и история его взлета и падения:

Вчера была массивная арбитражная сделка, где одна заблудшая душа пыталась поменять токен cUSDC на Uniswap v2 (cUSDC = депозит USDC в протокол Compound).

Т к ликвидности в этой паре не было - $1.8M превратились в 500$ (транзакция: https://etherscan.io/tx/0x96a129768ec66fd7d65114bf182f4e173bf0b73a44219adaf71f01381a3d0143)

MEV бот 0xbad в результате длинного арбитража смог профитнуть из этого обмена на 800 ETH.

Через час он потерял не только 800, а 1100 eth.

Выглядит так, что при составлении смарт-контракта MEV бот для выполнения займов в dydx не защитил функцию «callfunction» от вызова сторонними адресами.

В итоге атакующий адрес аппрувил все WETH, хранящиеся у бота 0xbad и увел их к себе на кошелек: https://etherscan.io/tx/0x631d206d49b930029197e5e57bbbb9a4da2eb00993560c77104cd9f4ae2d1a98»

MEV бот 0xbad предложил эксплойтеру баунти в размере 20% от суммы средств, но, вероятно, столь долго зарабатываемые средства ушли в зрительный зал внимательному хакеру.